W32/MTX o I-Worm.MTX

    Este virus es quizás uno de los más complejos de los últimos tiempos, ya que tiene 3 componentes diferentes, está encriptado y detecta la presencia de vacunas de los antivirus internacionales más conocidos, para impedir su detección y eliminación.

    Se propaga bajo sistemas Windows de 32 bits (95/98/Me/NT/2000), infectando los archivos ejecutables y se auto-envía como un archivo anexado en mensajes de correo electrónico que emplean el protocolo POP3, así como también ingresa por puntos vulnerables del sistema, más conocidos como "holes" o "puertas falsas", para de allí poder tomar control, en forma remota, de las estaciones de trabajo en función de sus correspondientes direcciones IP.

    El W32.MTX posee una estructura inusual que consta de 3 componentes que se ejecutan en un solo programa: Virus, Gusano de E-mail y Troyano de Control Remoto. Siendo el virus su principal componente, ya que almacena el gusano y las rutinas de control remoto en su código, dentro de un formato comprimido que mide aoenas 18k. Al infectar el sistema extrae su otros 2 componentes y los distribuye de acuerdo a esta estructura:

    Rutinas de instalación e infección: instala el gusano y el troyano, luego infecta los ejecutables
    Código comprimido del gusano: es extraído de archivo y se ejecuta por sí mismo
    Código de control remoto: es extraído de archivo y se ejecuta por sí mismo

Infección del archivo EXE:

Código de archivo y data
Código del virus
Instalación e infección
Gusano de envío de E-mails
Troyano de control remoto

    El código del gusano no contiene las rutinas necesarias para infectar al sistema, de tal modo que es enviado por E-mail en un archivo infectado, en la modalidad de anexado. El gusano requiere de la ayuda del componente del virus y es enviado cuando está infectado por el virus (el archivo del gusano es infectado por el virus como si fuese un archivo normal y luego es enviado). Probablemente los componentes hayan sido escritos por personas diferentes. Muestra las siguientes cadenas:

 SABIÁ.b ViRuS
 Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz: All VX guy in #virus and Vecna for help us
 Visit us at:
 http://www.coderz.net/matrix

    El componente del gusano tiene estas cadenas:

 Software provide by [MATRiX] VX team:
 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz:
 All VX guy on #virus channel and Vecna
 Visit us: www.coderz.net/matrix

    El componente del troyano contiene este texto:

 Software provide by [MATRiX] team:
 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz:
 Vecna 4 source codes and ideas

Componente del Virus

    El virus emplea la técnica de "Entry Point Obscuring" (Punto de ingreso oculto) mientras infecta un archivo. Esto significa que el virus no afecta al archivo en su código de entrada, pero coloca una instrucción de "Salto de Virus" en algún lugar, en la mitad de la sección del código del archivo, para que su detección y eliminación sea más compleja. Como resultado, el virus es activado solamente si el programa afectado recibe el control.

    Este virus además está encriptado, de modo tal que en primer lugar se tiene que desencriptar por sí mismo, cuando su código toma el control del archivo afectado. Luego busca las funciones API de Win32 dentro del Kernel. Para lograr este objetivo, el virus prueba las direcciones de Win9x, WinNT y Win2000.

    Inmediatamente después, el virus detecta los antivirus activados en el sistema y escapa del mismo en caso sea detectado. La lista de antivirus que busca es la siguiente:

 AntiViral Toolkit Pro
 AVP Monitor
 Vsstat
 Webscanx
 Avconsol
 McAfee VirusScan
 Vshwin32
 Central do McAfee VirusScan

    A continuación, el virus instala sus componentes en el sistema, los cuales son descomprimidos en el directorio de Windows y luego diseminados. Son tres los archivos creados allí, los mismo que tienen el atributo de "ocultos" y con los siguientes nombres:

 IE_PACK.EXE   - código del Gusano, no infectado
 WIN32.DLL       - código de l Gusano, infectado por el virus
 MTX_.EXE        - código del troyano de control remoto

    Luego el virus infecta los archivos ejecutables PE EXE de Win32 en el directorio actual, temporal, los sub-directorios de Windows y finalmente sale de los mismos.

Gusano

    Este gusano afecta al archivo WSOCK32.DLL en el directorio de Sistema de Windows, al agregar un componente de su código al final del archivo y enganchando la rutina "send" de WSOCK32.DLL. Como resultado, el gusano monitorea toda la data que es enviada desde una computadora afectada hacia Internet.

    Usualmente el archivo WSOCK32.DLL está en uso en el instante que el gusano se activa y éste se protege contra escritura. Para evitar esto, el gusano emplea un método clásico: crea una copia del archivo original WSOCK32.DLL usando el nombre del archivo  WSOCK32.MTX, afecta esa copia y luego escribe "replace original file with infected" al archivo WININIT.INI:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

"C:\WINDOWS\SYSTEM" es el nombre del directorio del sistema de Windows y puede diferir, dependiendo del nombre del directorio en el cual fue instalado los archivos del sistema operativo Windows.

    La próxima vez que se inicie el sistema, el archivo WSOCK32 infectado reemplaza al original y el gusano obtiene acceso a la data que es enviada desde un equipo infectado. El gusano repara en los sitios de Internet tales como la Web o FTP, que son visitados, así como también en los mensajes de correo que usan el protocolo POP3, enviados por la computadora.

    El comportamiento visible de este virus constituye el hecho que se detiene visitando varios sitios de Internet, o deshabilita el envío de mensajes de correo a los mismos dominios (por lo general a los sitios web de los anti-virus).

    El gusano tampoco permite enviar mensajes de correo a los siguientes dominios:

 wildlist.o*
 il.esafe.c*
 perfectsup*
 complex.is*
 HiServ.com*
 hiserv.com*
 metro.ch*
 beyond.com*
 mcafee.com*
 pandasoftw*
 earthlink.*
 inexar.com*
 comkom.co.*
 meditrade.*
 mabex.com *
 cellco.com*
 symantec.c*
 successful*
 inforamp.n*
 newell.com*
 singnet.co*
 bmcd.com.a*
 bca.com.nz*
 trendmicro*
 sophos.com*
 maple.com.*
 netsales.n*
 f-secure.c*
 

    También intercepta mensajes de correo que son enviados y trata de enviar mensajes duplicados, con el archivo infectado anexado, a la misma dirección, del mismo modo que el virus "Happy99". Como resultado, la dirección de equipo afectado recibirá dos mensajes: el primero, que es original escrito por el remitente y el segundo será un mensaje con el campo del "Asunto" y el "Cuerpo del mensaje" en BLANCO, con un archivo anexado, que tiene uno de los siguientes nombres, que es elegido por el gusano, dependiendo de la fecha actual:

 README.TXT.pif
 I_wanna_see_YOU.TXT.pif
 MATRiX_Screen_Saver.SCR
 LOVE_LETTER_FOR_YOU.TXT.pif
 NEW_playboy_Screen_saver.SCR
 BILL_GATES_PIECE.JPG.pif
 TIAZINHA.JPG.pif
 FEITICEIRA_NUA.JPG.pif
 Geocities_Free_sites.TXT.pif
 NEW_NAPSTER_site.TXT.pif
 METALLICA_SONG.MP3.pif
 ANTI_CIH.EXE
 INTERNET_SECURITY_FORUM.DOC.pif
 ALANIS_Screen_Saver.SCR
 READER_DIGEST_LETTER.TXT.pif
 WIN_$100_NOW.DOC.pif
 IS_LINUX_GOOD_ENOUGH!.TXT.pif
 QI_TEST.EXE
 AVP_Updates.EXE
 SEICHO-NO-IE.EXE
 YOU_are_FAT!.TXT.pif
 FREE_xxx_sites.TXT.pif
 I_am_sorry.DOC.pif
 Me_nude.AVI.pif
 Sorry_about_yesterday.DOC.pif
 Protect_your_credit.HTML.pif
 JIMI_HMNDRIX.MP3.pif
 HANSON.SCR
 FUCKING_WITH_DOGS.SCR
 MATRiX_2_is_OUT.SCR
 zipped_files.EXE
 BLINK_182.MP3.pif

    Como archivo anexado, el gusano emplea el WIN32.DLL que fue antes depositado por el componente del virus.

    El gusano no toca el archivo WIN32.DLL, pero lo emplea para anexarlo a los mensajes que son enviados, de tal modo que el gusano por sí mismo, no está en la capacidad de esparcirse más de una vez y cuando se ejecute en el equipo receptor infectará el  WSOCK32.DLL, pero no podrá enviar sus copias en adelante. Para "arreglar ese problema" el gusano envia la copia infectada. En este caso el archivo WIN32.DLL es el componente del gusano infectado por el componente del virus.

    Por suerte, en la modificación del gusano conocido hay un "bug", en su rutina de contagio, y la mayoría de servidores de correo fallan al recepcionar los mensajes de correo afectados, que son enviados por un equipo infectado. Po rese motivo esta versión de virus, difícilmente se podrá difundir en forma masiva.

Troyano de Control Remoto

    Cuando se ejecuta su componente se crea una nueva llave en el registro del sistema, que indica que el equipo ya está infectado:

 HKLM\Software\[MATRIX]
Si esta llave existe, el troyano no procede a instalarse. Sin embargo se registra así mismo en la sección de auto-run:
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SystemBackup=%WinDir%\MTX_.EXE
 

%WinDir% es el directorio de Windows.

    El troyano permanece activo en Windows en la forma de un servicio o aplicación "oculta" y ejecuta una rutina que se conecta a algunos servidores de Internet, obtiene sus archivos de ellos y los esparce en el sistema. Como consecuencia final, el troyano de control remoto puede infectar el sistema con otros virus o instalar programas troyanos de mayor funcionabilidad.